CCNA学习指南 二层交换和VLAN

交换式服务

　　第2层的交换机和网桥在工作时要比路由器快许多，因为它们没有对数据包进行任何修改，不会花费时间去查看网络层头部的信息。 它们只是在决定转发、泛洪或是丢弃数据帧之前查看帧的硬件地址。与集线器不同，交换机能够创建私有的、专用的冲突域，并且能够在每个端口上提供独立的带宽。第2层交换可以提供下列功能:

• 基于硬件的桥接 (ASIC );
• 线速 (wire speed);
• 低延迟;

• 低成本。

  　　此外，第 ２层交换还可为每个用户增加可用的网络带宽，这也是因为连接到交换机的每个连接(接口)都拥有自己的冲突域。
  
  

第２层交换的局限性：

　　由于通常都会将第 ２层交换归类为桥接网络，所以我们一般会认为，它会与桥接网络具有相同的难题和问题。要使用网桥来完成一个好的设计，就需要认
真考虑下面的两个最重要的方面:

• 必须保证绝对正确地分隔冲突域:

• 创建可实用桥接网络的正确方法是，确保网络中的用户会将 80% 的时间用于本地网段内的传输。

  　　桥接网络能够将冲突域进行分隔，但是需要记住的是，这样的网络仍然处在一个大的广播域之中。默认情况下，第 层的交换机和网桥都不能对广播域进行分隔一一这一问题不仅限制了网络的规模，而且还限制了网络的增长潜力，同时它还会导致网络整体性能的下降。
  　　随着网络的增长，广播、组播以及生成树的慢会聚。这些也正是第的交换机和网桥不能在互联网络中完全取代路由器(第 层设备)的主要原因。
  
  

桥接与局域网交换的比较：

　　第２层交换机只是拥有更多端口的网桥，这千真万确，但是对于它们之间的一些重要不同点还是必须始终牢记的:

• 网桥是基于软件的，而交换机则是基于硬件的，交换机使用 ASIC 芯片来帮助它们完成过滤决策;
• 交换机可以被视为多端口网桥:
• 每个网桥只有一个生成树实例，而交换机则可以有多个(我们稍后就会讨论到生成树);
• 大多数的交换机要比网桥的端口数量多很多;
• 网桥和交换机都将泛洪第 层广播;
• 通过检查每个接收到的数据帧的源地址，网桥和交换机完成了对 MAC 地址的学习;
• 网桥和交换机都基于第 层地址完成转发决策。

第２层上的 ３种交换功能：

• 地址学习： 第2层的交换机和网桥能够记住在某个接口上所收到的每个帧的源硬件地址，而且它们还会将这个信息输入到被称为转发/过滤表的 MAC 数据库中。

• 转发/过滤决策： 当在某个接口上收到一个数据帧时，交换机就会在 MAC 数据库中查看其目的方的硬件地址，并找到其输出接口。此数据帧只会被转发到相应的目的端口。

• 环路避免： 如果为了保证冗余而在交换机之间创建了多重连接，网络就可能产生环路。在提供冗余的同时，生成树协议( STP) 还可以防止网络环路的产生。

生成树协议 (STP)

　　STP（Spanning Tree Protocol）是生成树协议的英文缩写。该协议可应用于在网络中建立树形拓扑，消除网络中的环路，并且可以通过一定的方法实现路径冗余，但不是一定可以实现路径冗余。生成树协议适合所有厂商的网络设备，在配置上和体现功能强度上有所差别，但是在原理和应用效果是一致的。

　　STP的基本原理是通过在交换机之间传递一种特殊的协议报文，网桥协议数据单元（Bridge Protocol Data Unit，简称BPDU），来确定网络的拓扑结构。　　　BPDU有两种：配置BPDU（Configuration BPDU）和TCN BPDU。前者是用于计算无环的生成树的，后者则是用于在二层网络拓扑发生变化时产生用来缩短MAC表项的刷新时间的（由默认的300s缩短为15s）。

　　STP在IEEE802.1D文档中定义。该协议的原理是按照树的结构来构造网络拓扑，消除网络中的环路，避免由于环路的存在而造成广播风暴问题。
　　
　　STP的基本思想就是按照”树”的结构构造网络的拓扑结构，树的根是一个称为根桥的桥设备，根桥的确立是由交换机或网桥的BID（Bridge ID）确定的，BID最小的设备成为二层网络中的根桥。BID又是由网桥优先级和MAC地址构成，不同厂商的设备的网桥优先级的字节个数可能不同。由根桥开始，逐级形成一棵树，根桥定时发送配置BPDU，非根桥接收配置BPDU，刷新最佳BPDU并转发。这里的最佳BPDU指的是当前根桥所发送的BPDU。如果接收到了下级BPDU（新接入的设备会发送BPDU，但该设备的BID比当前根桥大），接收到该下级BPDU的设备将会向新接入的设备发送自己存储的最佳BPDU，以告知其当前网络中根桥；如果接收到的BPDU更优，将会重新计算生成树拓扑。当非根桥在离上一次接收到最佳BPDU最长寿命（Max Age，默认20s）后还没有接收到最佳BPDU的时候，该端口将进入监听状态，该设备将产生TCN BPDU，并从根端口转发出去，从指定端口接收到TCN BPDU的上级设备将发送确认，然后再向上级设备发送TCN BPDU，此过程持续到根桥为止，然后根桥在其后发送的配置BPDU中将携带标记表明拓扑已发生变化，网络中的所有设备接收到后将CAM表项的刷新时间从300s缩短为15s。整个收敛的时间为50s左右。

生成树协议运行生成树算法（STA）。生成树算法很复杂，但是其过程可以归纳为以下三个部分。
（1）选择根网桥
（2）选择根端口
（3）选择指定端口（也有书籍称为转发端口）
选择根网桥的依据是交换机的网桥优先级，网桥优先级是用来衡量网桥在生成树算法中优先级的十进制数，取值范围是0～65535.默认值是32768，网桥ID=网桥优先级+网桥MAC地址组成的，共有8个字节。由于交换机的网桥优先级都是默认，所以在根网桥的选举中比较的一般是网卡MAC地址的大小，选取MAC地址小的为根网桥。

STP 端口状态：

• Blocking（阻塞状态）：阻塞状态用于防止使用有环路的路径。此时，二层端口为非指定端口，也不会参与数据帧的转发。该端口通过接收BPDU来判断根交换机的位置和根ID，以及在STP拓扑收敛结束之后，各交换机端口应该处于什么状态，在默认情况下，端口会在这种状态下停留20秒钟时间。
• Listening（侦听状态）：处于侦昕状态的端口在没有形成MAC地址表时就准备转发数据帧了。生成树此时已经根据交换机所接收到的BPDU而判断出了这个端口应该参与数据帧的转发。于是交换机端口就将不再满足于接收BPDU，而同时也开始发送自己的BPDU，并以此通告邻接的交换机该端口会在活动拓扑中参与转发数据帧的工作。在默认情况下，该端口会在这种状态下停留15秒钟的时间。
• Learning(学习状态)：处于学习状态的端口会形成 MAC 地址表，但不能转发数据帧。这个二层端口准备参与数据帧的转发，并开始填写MAC表。在默认情况下，端口会在这种状态下停留15秒钟时间。
• Forwarding（转发状态）：处于转发状态的端口在此桥接的端口上发送并接收所有数据帧。这个二层端口已经成为了活动拓扑的一个组成部分，它会转发数据帧，并同时收发BPDU。
• Disabled（禁用状态）：处于禁用状态的端口实质上是不工作的。这个二层端口不会参与生成树，也不会转发数据帧。

虚拟局域网

　　虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。

使用 VLAN解决第２层交换存在的众多问题。下面简要地说明了 VLAN 简化网络管理的方式:

• 在网络中添加、移走和更换设备很容易，只需将端口加入合适的 VLAN 即可;
• 对于安全要求极高的用户，可将他们加入独立的 VLAN ，这样，其他 VLAN 中的用户将不能与他们通信;
• 作为用户逻辑编组， VLAN 可独立于用户的地理位置;
• VLAN 极大地改善了网络安全;
• VLAN 增加了广播域的数量，同时缩小了广播域的规模。

当一个交换机上的所有端口中有至少一个端口属于不同网段的时候，当路由器的一个物理端口要连接2个或者以上的网段的时候，就是VLAN发挥作用的时候，这就是VLAN的目的。

　　划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。

VLAN的标准：

• 802.10标准：在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。
• 802.1Q ：这是 IEEE 制定的标准帧标记方法。在思科交换机和其他品牌的交换机之间中继时，必须使用 802.1Q
• Cisco公司的ISL标准：交换机间链路 (ISL) 是一种在以太网帧中显式地标记 VLAN
  信息的方式。这种标记信息让你能够利用外部封装方法，将 VLAN 多路复用到中继链路，并让交换机能够确定帧所属的 VLAN ISL
  是思科专用的帧标记方法，只能用于思科交换机和路由器。